描述:
Apache Software Foundation 发布了安全性更新,以应对 Apache Tomcat 的多个漏洞。远端攻击者可以通过传送特制的请求至受影响系统,从而发动攻击。
Apache Software Foundation 宣布最新修补程式 Apache Tomcat 9.0.98、10.1.34 及 11.0.2 中应对远端执行程式码漏洞 (CVE-2024-50379) 的缓解措施被发现不完全。 完全应对有关问题 (CVE-2024-56337) 的额外修补程式仍未可获取,但 Apache Software Foundation 提供了临时措施以减低风险。受影响系统的系统管理员应遵从下列建议,并立即采取行动以降低风险。
建议在采用解临时措施前妥善评估影响,并咨询产品供应商以取得相关支援。
GovCERT.HK正在密切监察有关情况,并将于可获取额外修补程式时就有关问题发布更新。
受影响的系统:
- Apache Tomcat 11.0.0-M1 至 11.0.1
- Apache Tomcat 10.1.0-M1 至 10.1.33
- Apache Tomcat 9.0.0-M1 至 9.0.97
有关受影响系统的详细资料,请参阅软件供应商网站的相应安全公告。
影响:
成功利用漏洞可以在受影响的系统导致远端执行程式码或服务被拒绝。
建议:
Apache Software Foundation 发行了软件的新版本以应对以上问题。用户可从以下网址下载:
https://tomcat.apache.org/download-11.cgi#11.0.2
https://tomcat.apache.org/download-10.cgi#10.1.34
https://tomcat.apache.org/download-90.cgi#9.0.98
除了升级至 Apache Tomcat 9.0.98、10.1.34 及 11.0.2外,受影响系统的系统管理员应基于正在使用的 Java 版本作出额外设置:
- Java 8 或 Java 11
必须将系统属性「sun.io.useCanonCaches」 设定为 「false」 (预设值为「true」)
- Java 17
如须设定系统属性「sun.io.useCanonCaches」,必须将其设定为 「false」 (预设值为「false」)
- Java 21 或之后
不须作出任何设置 (系统属性及存在问题的快取已被移除)
进一步资讯:
- https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.98
- https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.34
- https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.2
- https://www.hkcert.org/tc/security-bulletin/apache-tomcat-multiple-vulnerabilities_20241218
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-50379
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-54677
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-56337